Dienstag, 10.11.2009 17:35

Exklusiv: Datenpanne bei der Deutschen Post

aus dem Bereich Sonstiges
Von Hayo Lücke
Wer im Internet einkaufen geht, tut dies in der Regel mit der inneren Sicherheit, dass die für den Einkauf notwendigen, persönlichen Daten nur dort einsehbar sind, wo es zwingend erforderlich ist. Das wird auch auf Nutzer des PostOffice Shop der Deutschen Post zutreffen. In dem für Geschäftskunden errichteten Online-Shop werden Materialien für den Brief- und Paket-Versand sowie für den Bürobedarf angeboten. Durch einen technischen Fehler war es jedoch theoretisch möglich, auf unzählige Rechnungen inklusive Lieferadresse zuzugreifen. Durch einen Hinweis von onlinekosten.de konnte die Datenschutz-Lücke von Programmierern der Post zwischenzeitlich behoben werden.

Anzeige
OrderID beliebig austauschbar

Sichtbar wurden die Bestellungen anderer Post-Kunden durch einfaches Editieren einer Internet-Adresse. Wurden die Daten einer eigenen Bestellung online abgerufen, erschien in der URL automatisch die Bestellnummer als Parameter orderID. Wer diese sechsstellige Ziffernfolge mit vorgestelltem o nach Belieben änderte, konnte sich die Bestell-Belege wildfremder Post-Kunden auf den Bildschirm holen. Nicht einmal eine Anmeldung im Post-Shop war dafür notwendig.


Die OrderID der eigenen Bestellung war beliebig austauschbar. Screenshot: onlinekosten.de

Sichtbar wurden nicht nur detaillierte Auflistungen zu den bestellten Produkten, sondern auch Straße, Hausnummer, Postleitzahl und Stadt der Lieferadresse. Außerdem Angaben zur Zahlungsweise: Rechnung, Lastschrift bzw. Kreditkarte. Firmennamen, Konto- oder Kreditkartendaten wurden hingegen nicht angezeigt.


Diverse Bestell- und Adress-Daten waren ohne Probleme einsehbar. Screenshot: onlinekosten.de

Post reagiert schnell

Durch einen Hinweis von onlinekosten.de am Montag wurde die Deutsche Post umgehend aktiv und setzte die entsprechenden Website-Funktionen außer Betrieb. Noch in der Nacht wurde nach Angaben eines Post-Sprechers damit begonnen, den technischen Fehler zu beheben. Seit Dienstag 11:30 Uhr ist der PostOffice Shop wieder uneingeschränkt nutzbar.

Die Deutsche Post geht aufgrund der Anzahl registrierter Benutzer und den Online-Bestellquoten davon aus, dass es sich "um einige tausend, theoretisch nachvollziehbare Informationen zur Bestellhistorie ohne Kundennamen und Kundennummer" gehandelt habe, die theoretisch hätten ausgelesen werden können. Der Post-Sprecher gab aber zu bedenken: "Die Online-Bestellmöglichkeit ist ein ausschließliches Angebot für Geschäftskunden und Rückschlüsse auf Namen von Personen bzw. eine Personalisierung von Daten waren somit nicht ohne Weiteres gegeben."
Kommentieren (Neuen Kommentar verfassen):
 Erste Betrugsversuche (3 Beiträge) 
    Zuletzt kommentiert von m3d0r am 11.11.2009 um 16:11 Uhr
 Suche

Whois
Suchen Sie eine eingängige Domain für ihre Website und die Wunschadresse scheint schon belegt?
Einfach mit Whois den Check machen und herausfinden, zu wem die URL und IP Adresse gehört. Auch die DENIC kann oft Auskunft geben.
Vielleicht ist ein Reseller beteiligt und verkauft preisgünstig.
Mobilfunk Provider
Neben den vier großen Netzbetreibern gibt es zahlreiche Mobilfunk Discounter Angebote - auch Billigmarken der Provider wie beispielsweise Simyo von E-Plus. Den Überblick zu behalten wird immer schwerer.
Dafür haben einige der Anbieter zusätzlich günstige Handys ohne Vertrag, vom Klapphandy bis hin zum Touchscreen Handy, im Angebot.
DSL Telefon
Der klassische Telefonanschluss ist out. Heute ist vielerorts bereits DSL verfügbar und macht das DSL Telefon möglich.
Eine Telefon Flatrate senkt die Kosten zudem erheblich.
Das DSL Angebot ist allerdings groß. Deshalb vorher Provider vergleichen.
© 1999-2012 onlinekosten.de GmbH :: Datenschutz :: Impressum :: Presse :: Jobs